| 跳过导航链接 | |
| 退出打印视图 | |
|
Oracle Solaris Trusted Extensions 配置指南 Oracle Solaris 10 8/11 Information Library (简体中文) |
| 跳过导航链接 | |
| 退出打印视图 | |
|
|
Oracle Solaris Trusted Extensions 配置指南 Oracle Solaris 10 8/11 Information Library (简体中文) |
3. 将 Trusted Extensions 软件添加到 Solaris OS(任务)
5. 为 Trusted Extensions 配置 LDAP(任务)
6. 配置具有 Trusted Extensions 的无显示系统(任务)
Trusted Extensions 中的无显示系统配置(任务列表)
在 Trusted Extensions 中,以 root 用户身份启用远程登录
在 Trusted Extensions 中以某个角色启用远程登录
在无显示系统上,控制台通过串行线路连接到终端仿真窗口。通常会使用 tip 命令来确保线路的安全。根据可用的另一系统的类型,可以使用下列方法之一来配置无显示系统。下表中按照安全性从高到低的顺序列出了这些方法。这些说明也适用于远程系统。
|
注 - 请参阅您的安全策略,以确定您的站点上允许的远程管理方法。
与在 Solaris OS 中一样,当 CONSOLE 登录被禁用时,root 可以从有标签系统远程登录。
如果您打算通过编辑本地文件来管理远程系统,请使用以下过程。
# /usr/dt/bin/trusted_edit /etc/default/login
编辑后的行显示如下:
#CONSOLE=/dev/console
修改 /etc/ssh/sshd_config 文件。缺省情况下,ssh 在 Solaris 系统上处于启用状态。
# /usr/dt/bin/trusted_edit /etc/ssh/sshd_config
编辑后的行显示如下:
PermitRootLogin yes
接下来的步骤
要以 root 用户身份从无标签系统登录,还必须完成启用从无标签系统进行的远程登录。
要以某个角色启用远程登录,请继续执行在 Trusted Extensions 中以某个角色启用远程登录。
仅当您必须通过 rlogin 或 ssh 命令管理无显示系统时,才需执行此过程。
可以远程调试配置错误。
开始之前
如果您使用本地文件来管理远程系统,并且已完成了在 Trusted Extensions 中,以 root 用户身份启用远程登录。那么,请以 root 用户身份在两个系统上都执行以下任务。
桌面系统和无显示系统必须互相标识为使用相同的安全模板。有关过程,请参见《Oracle Solaris Trusted Extensions 管理员规程》中的"如何将安全模板指定给向一台主机或一组主机"。
要指定临时标签,请参见示例 6-1。
名称和 ID 必须相同,并且必须为这两个系统上的同一用户指定同一角色。要创建用户和角色,请参见在 Trusted Extensions 中创建角色和用户。
# /usr/dt/bin/trusted_edit /etc/hosts
127.0.0.1 localhost 192.168.66.66 local-system-name loghost 192.168.66.12 remote-system-name
# cp /etc/pam.conf /etc/pam.conf.orig
# /usr/dt/bin/trusted_edit /etc/pam.conf
在字段之间使用 Tab 键。现在,此部分将显示如下:
# Solaris Management Console definition for Account management # smcconsole account requisite pam_roles.so.1 allow_remote smcconsole account required pam_unix_account.so.1 smcconsole account required pam_tsol_account.so.1 # Default definition for Account management # Used when service name is not explicitly mentioned for account management # other account requisite pam_roles.so.1 other account required pam_unix_account.so.1 other account required pam_tsol_account.so.1
# cp /etc/pam.conf /etc/pam.conf.site
如果要将系统升级到更高的发行版,则随后必须评估是否应将 /etc/pam.conf.site 中的更改复制到 pam.conf 文件中。
示例 6-1 创建 ProductShort; 主机类型的临时定义
在本示例中,管理员想在设置主机类型定义之前开始配置远程 ProductShort; 系统。为此,管理员在远程系统上使用 tnctl 命令来临时定义桌面系统的主机类型:
remote-TX# tnctl -h desktop-TX:cipso
然后,管理员想要从尚未配置 ProductShort; 的桌面系统连接到远程 ProductShort; 系统。在本例中,管理员在远程系统上使用 tnctl 命令将桌面系统的主机类型临时定义为从 ADMIN_LOW 标签运行的无标签系统:
remote-TX# tnctl -h desktop-TX:admin_low
开始之前
此过程不安全。
如在 Trusted Extensions 中以某个角色启用远程登录中所述,您已放宽 PAM 策略以允许远程角色担任。
 | 注意 - 使用缺省设置时,另一无标签系统可以登录和管理远程系统。因此,您必须将 0.0.0.0 网络缺省值从 ADMIN_LOW 更改为一个不同的标签。有关过程,请参见《Oracle Solaris Trusted Extensions 管理员规程》中的"如何限定可能会在可信网络上联系的主机"。 |
# /usr/dt/bin/trusted_edit /etc/pam.conf
在字段之间使用 Tab 键。
smcconsole account required pam_tsol_account.so.1 allow_unlabeled
编辑之后,此部分将显示如下:
# Solaris Management Console definition for Account management # smcconsole account requisite pam_roles.so.1 allow_remote smcconsole account required pam_unix_account.so.1 smcconsole account required pam_tsol_account.so.1 allow_unlabeled
如果未使用 LDAP,并且希望在远程系统上使用 Solaris Management Console,请启用到控制台的远程连接。此过程不足以启用 LDAP 范围的访问。
要启用 LDAP 范围的访问,必须完成为 LDAP 配置 Solaris Management Console(任务列表)中的所有过程。
开始之前
两个系统都是有标签的系统。
您已完成以下过程:
# /usr/sbin/smc &
然后,选择 Scope=Files 工具箱。
This Computer (remote-system: Scope=Files, Policy=TSOL)
用于在桌面上启用远程显示的过程与在未配置 ProductShort; 的 Solaris 系统上使用的过程相同。为方便起见,下面提供了该过程。
desktop $ xhost + headless-host
desktop $ echo $DISPLAY :n.n
headless $ DISPLAY=desktop:n.n headless $ export DISPLAY=n:n
在此过程中,您可以使用命令行和 txzonemgr GUI 以超级用户或某个角色的身份管理无显示系统。
注 - 使用 rlogin 命令进行远程登录不如使用 ssh 命令进行远程登录安全。
使用 Solaris Management Console 管理远程系统不需要使用远程登录命令。有关过程,请参见《Oracle Solaris Trusted Extensions 管理员规程》中的"如何从 Trusted Extensions 系统使用 Solaris Management Console 来远程管理系统"。
开始之前
已完成在 Trusted Extensions 中以某个角色启用远程登录。
您是可以使用该同一用户名和用户 ID 登录到无显示系统的用户,您可以在无显示系统上担任与桌面系统上相同的角色。
desktop $ xhost + headless-host desktop $ echo $DISPLAY :n.n
desktop $ ssh -l identical-username headless Password: Type the user's password headless $
desktop # rlogin headless Password: Type the user's password headless $
使用同一终端窗口。例如,担任 root 角色。
headless $ su - root Password: Type the root password
您现在已在全局区域中。现在,您可以使用此终端从命令行管理无显示系统。
headless $ DISPLAY desktop:n.n headless $ export DISPLAY=n:n
现在即可以使用 Trusted Extensions GUI 管理无显示系统。例如,启动 txzonemgr GUI:
headless $ /usr/sbin/txzonemgr
"Labeled Zone Manager"(有标签区域管理器)将在远程系统上运行,并显示在桌面系统上。
要打开并安全关闭 Application Manager,请参见《Oracle Solaris Trusted Extensions 管理员规程》中的"如何使用 dtappsession 来远程管理 Trusted Extensions"。
示例 6-2 配置无显示系统上的有标签区域
在本例中,管理员使用 txzonemgr GUI 从有标签桌面系统上配置有标签无显示系统上的有标签区域。与在 Solaris OS 中一样,管理员通过使用 ssh 命令及 -X 选项使 X 服务器能够访问桌面系统。用户 install1 在两个系统上具有相同的定义,可以担任角色 remoterole。
TXdesk1 $ xhost + TXnohead4 TXdesk1 $ whoami install1
TXdesk1 $ ssh -X -l install1 TXnohead4 Password: Ins1PwD1 TXnohead4 $
为连接到全局区域,管理员担任了角色 remoterole。该角色在两个系统上具有相同的定义。
TXnohead4 # su - remoterole Password: abcd1EFG
然后,管理员启动 txzonemgr GUI。
TXnohead4 $ /usr/sbin/txzonemgr &
"Labeled Zone Manager"(有标签区域管理器)将在无显示系统上运行,并显示在桌面系统上。
|